Linux Magazine 29, número de Julio

Linux Magazine 29Como siempre, excelente número, esta vez con software del que desconocía su existencia (Cabaret Stage, un editor de ficheros PDF propietario pero gratuito para Linux, desarrollado en Java)

DVD: Fedora 7

Noticias: Inseguridades: PostgreSQL, GnomeMeeting, PHP, Mozilla Tools

Portada: Especial Intrusos

Pasadizo Secreto: Las puertas traseras proporcionan al atacante acceso ilimitado a un sistema zombie…

lsof: Rastreamos y descubrimos intrusos

iWatch: ¿Por qué esperar a un cron? iWatch monitoriza los archivos y directorios indispensables en tiempo real

BackTrack: La distribución live BackTrack nos permite actuar como un intruso para probar la seguridad de nuestra red

Ataques ARP: Hay quien piensa que el hecho de que dos máquinas estén conectadas a un switch es suficiente para que el tráfico que fluye entre ellas no pueda ser espiado por un tercero

Práctico: Streaming de Vídeo, Vídeos Web, Fotos Perfectas con GIMP, Graphviz

Desarrollo: depuración de programas Perl, Python: Mechanize

SysAdmin: Postfilter, Vida del SysAdmin: Un día en la red de Charly podría presentarse con problemas en la Ethernet, en las VLANs y en los switches así como en los servidores DHCP, Argus: Argus ayuda a monitorizar el flujo de datos de la red

Linux User: Ktools: Filtro anti-spam: El programa filtro CRM114, Cabaret Stage: edición de ficheros PDF, Workspace: OOo y MySQL, Educación: Squeak y Geografía, ínea de Comandos: Ficheros, Juegos: Soul fu.

Comunidad: resultados del I. Concurso Universitario de Software Libre

Buscamos desarrolladores Zimbra

Ha surgido un proyecto en el que necesitamos desarrollar algunas nuevas funcionalidades para el servidor de groupware (versión opensource) Zimbra. Disponemos de una bolsa de subvención que usaremos como recompensas para pagar a los desarrolladores que durante estos próximos 3 meses se animen a desarrollar alguna de las funcionalidades que especificamos en el siguiente documento

En particular, estamos interesados en resolver los siguientes bugs (entre otros):

http://bugzilla.zimbra.com/show_bug.cgi?id=7844
http://bugzilla.zimbra.com/show_bug.cgi?id=11815
http://bugzilla.zimbra.com/show_bug.cgi?id=8708
http://bugzilla.zimbra.com/show_bug.cgi?id=13922
http://bugzilla.zimbra.com/show_bug.cgi?id=14695
http://bugzilla.zimbra.com/show_bug.cgi?id=8847

Si tienes experiencia Java/J2EE y tras leer el documento anterior estás interesado, pónte en contacto conmigo en juanan diariolinux com para recabar más información, lista de prioridades, deadlines y discutir las recompensas. ¡Suerte!

¿Problemas con el audio en los vídeos Flash?

Lo primero: ¿qué tarjeta de audio estás usando?

sh-3.2$ aplay -l
**** Lista de PLAYBACK Dispositivos Hardware ****
tarjeta 0: Intel [HDA Intel], dispositivo 0: STAC92xx Analog [STAC92xx Analog]
Subdispositivos: 0/1
Subdispositivo #0: subdevice #0

Si lanzamos Firefox desde una terminal, veremos una serie de errores de acceso a dispositivos de /dev/snd.

Veamos:

sh-3.2$ ls -al /dev/snd
total 0
drwxr-xr-x 2 root root 120 2007-07-17 13:27 .
drwxr-xr-x 13 root root 14660 2007-07-17 13:27 ..
crw-rw—- 1 root audio 116, 0 2007-07-17 11:10 controlC0
crw-rw—- 1 root audio 116, 24 2007-07-17 11:10 pcmC0D0c
crw-rw—- 1 root audio 116, 16 2007-07-17 11:10 pcmC0D0p
crw-rw—- 1 root audio 116, 33 2007-07-17 11:10 timer

Ooops… permisos sólo para el root. Cambiémoslos:

sh-3.2$ cd /dev/snd
sh-3.2$ sudo chmod 0666 *
sh-3.2$ ls -al /dev/snd
total 0
drwxr-xr-x 2 root root 120 2007-07-17 13:27 .
drwxr-xr-x 13 root root 14660 2007-07-17 13:27 ..
crw-rw-rw- 1 root audio 116, 0 2007-07-17 11:10 controlC0
crw-rw-rw- 1 root audio 116, 24 2007-07-17 11:10 pcmC0D0c
crw-rw-rw- 1 root audio 116, 16 2007-07-17 11:10 pcmC0D0p
crw-rw-rw- 1 root audio 116, 33 2007-07-17 11:10 timer

Y el audio en los vídeos Flash vuelve a funcionar. ¡Bien!

HackIt! 2007, buenas sensaciones

Un día después del HackIt! 2007 (Euskal Encounter) hacemos balance: excelente concurso, como siempre, por parte de Txipi de capitán general y Hey_Neken de coronel. 13 pruebas de cracking, criptografía e ingenio. Por nuestra parte «sólo» conseguimos llegar hasta la 10 cuando terminó el concurso, pero creemos que es una buena marca, máxime teniendo en cuenta el atasco general que todos los grupos salvo uno tuvimos en la 5ª. El concurso comenzó hacia las 11 de la noche del viernes. La primera prueba, facilita, pero divertida, pues inicialmente no veíamos el truco Javascript 😉 La segunda, crackeo de un md5, rapidito si sabes el procedimiento (al rico arco iris, arco iris…). Con la 3ª , a desempolvar los desensambladores de Java. La 4ª nos hizo descubrir que también existen para Flash. Y llegó el plato fuerte del HackIt, la china en el zapato, la fatídica Roma clásica (un saludo a todos los sufridores colegas de este año 😉 En nuestro caso, llegamos a eso de las 2 ó 3 de la mañana. Era claro que alguna dificultad extra entrañaría una prueba que desde el principio, intuíamos que se trataba de un cifrado César. Sabíamos que dado que en la 5ª se enviaba el primer email a la organización dando cuenta del progreso, no sería tan facil. A las 6 de la mañana ya empezamos a mosquearnos, porque la hoja de cálculo de nuestro gurú Excel (sí, no hay manera de que se pase a OpenOffice) empezaba a echar humo de tantas posibilidades probadas. Los alfabetos los pusimos de adelante hacia atrás, de lado, boca arriba, en latín y hasta en Euskera, pero nada. No había manera. César con todos los desplazamientos, sustituciones, análisis de frecuencia, análisis de distancia entre las letras de posibles palabras, nada. No había manera…. 7 de la mañana del sábado, primeras bajas, desfilamos hacia los sacos de dormir. 11 de la mañana, vuelvo de la ducha y las primeras conversaciones en torno a soluciones alternativas, jeje… cuánto masoca. Alguno no ha podido ni dormir dándole vueltas. Café, café… bendito café. Vamos allá, no podemos clavarnos así en la 5ª. Mediodía y hora de comer. Nothing de nothing. No hay manera. El gurú Excel empieza a cabrearse de verdad. Discusiones internas sobre criptogramas de la roma clásica y posibilidad de cifrar un mensaje sólo con las letras de los números romanos. Más café. Una vuelta por la Euskal para ver si somos los únicos empantanados en el 5º y sin ver ninguna vía de escape tras más de 10 horas con lo mismo. ¡Oh sorpresa! Salvo 1 grupo todos los demás estamos pegándonos con la misma prueba (y algunos con anteriores 😉

Reunión de urgencia con bandera blanca y otros dos grupos. Se pacta una alianza temporal para pasar la 5ª (txipi: perdona nuestros pecados, ha sido por causa mayor X-) … 5 de la tarde . Cuando ya estábamos sacando las cuchillas para cortarnos las venas (alguno quería «hablar» con txipi antes, jejeje…) llegan dos mensajeros de uno de los grupos aliados con cara de o haberse metido un chute o haber pasado la prueba. B . Nos dan alguna pista, pero no nos cuentan el procedimiento, lógico, para poder sacarnos ventaja previamente. 17:30. El Excel vuelve a echar humo. «Comienza por C». «La habéis visto, sólo que no la habéis entendido». … pampi… pamplon…. verbum… est. Aaaargghhhhh…. 18:00, un 4º grupo, del que sólo queda 1 miembro despierto con los ojos ensangrentados nos solicita ayuda. Cuando voy a su puesto se me ilumina la cara: «¡pero si lo tienes delante!» Un bug arrastrado desde la HackIt 2006 que impide darle a intro para probar el texto introducido en el formulario ha hecho que no la diera por válida («hay que pulsar el botón de enviar, no vale darle a intro!»). Más de 14 horas después, conseguimos superar la 5ª prueba. Pequeño rifi-rafe en el el chat. «Elegir otro algoritmo de cifrado sería apócrifo» son las primeras palabras de txipi. Creo que en esos primeros instantes no se daba cuenta del nivel de dificultad extra que entrañaba el alfabeto elegido (mucho más allá del algoritmo usado, que efectivamente era trivial) . Nos llueven los privados en el chat («ha llegado a mis oídos que habéis pasado la 5ª. Ayudadnos o nos suicidamos!!!!!!!!!!!!!!!!!!!!!») Jejeje… angelitos. Unas horas después ayudamos a varios grupos (y conocimos de paso a algunos miembros de la ORG de la NavarParty).

La 6ª resuelta en 15 minutos (gracias al entrenamiento con ELF+UPX+GDB del que ya hablamos en DiarioLinux) . La 7ª nos enfrentó con un .exe, del que salimos airosos en 1 hora con la ayuda de OllyDBG. De la 8ª nos salvó AirCrack, tras varias horas de ataque de todos los colores (diccionario – en castellano,inglés – + brute-force) con WepLab . La 9ª, en mi opinión, una obra maestra, una joya que me encantó: ataque contra unas tramas SIP, oír las pistas del organizador, búsqueda del .zip y crackeo con Advanced Zip Password Recovery (otra joyita de la gente de Elcomsoft).

Y llegamos a la 10 (4 o 5 de la madrugada del sábado al domingo), donde nos volvimos a atascar. ¿Cómo poner un watch a una dirección de memoria con GDB? Cabeceras ELF volatilizadas. Can’t access memory address. Memory address out of bounds. «¿Alguien sabe cómo buscar la dirección de una cadena de texto en GDB?». «¡Bájate el IDA para Linux!». oooppps… pero si es de pago. Probemos con LiDA. Buah! no sabe abrir el ejecutable … «Pues prefiero el GDB»… «Si hubiera un Olly para Linux». O sea: «What I really want is a debugger which is as functional and useable as OllyDbg but for Linux». Y lo encontramos, se llama EDB (Evan’s Debugger), y aunque todavía le queda camino, le da mil vueltas a GDB o a sus interfaces (DDD y compañía). Pero demasiado tarde. ¡Gong! 4 de la tarde del domingo 22 de Julio. Fin de la fiesta. Hasta el año que viene.

Nota: esperaré a que txipi publique las pruebas en su blog para comentarlas. También nos gustaría saber cuál fue la clasificación final. No puedo finalizar este pequeño resumen de la prueba sin enviar de nuevo mis agradecimientos y respetos por el excelente concurso que una vez más ha vuelto a organizar el señor Pablo G. para la HackIt . Esperamos ansiosos, desde ya, la edición del 2008; eso sí, a ser posible, sin pruebas killer nº 5 como la de este año 😉 Greetings for all the hacking teams.

Nuevo número : Todo Linux 80

Todo Linux 80Contenidos:

AMP (Apache+MySQL+PHP) paso a paso

Reportajes Búsquedas P2P con YaCy

Zona Iniciación/Debian:
Estudiando el arranque del pc con Linux
Portátiles con Debian

Talleres Prácticos
Curso de Gimp: Primera práctica
Instalando el entorno del Arduino
Máquinas virtuales: VMware Server y Player

Análisis de software
Pandora: el sistema de monitorización libre
K3b 1.0, CDs y DVDs desde Linux

Hardware
Desktop: Impresora HP Laserjet 2820 en red
Servidor: Almacenamiento IP

En el DVD: Fedora 7